3.5.2. Uso del complemento de autorización local para MIT Kerberos
El servicio winbind
proporciona usuarios de Active Directory al miembro del dominio. En determinadas situaciones, los administradores desean permitir que los usuarios del dominio se autentiquen en servicios locales, como un servidor SSH, que se ejecutan en el miembro del dominio. Si utiliza Kerberos para autenticar a los usuarios del dominio, habilite el complemento winbind_krb5_localauth
para asignar correctamente los principales de Kerberos a las cuentas de Active Directory a través del servicio winbind
.
Por ejemplo, si el atributo sAMAccountName
de un usuario de Active Directory está configurado como EXAMPLE
y el usuario intenta iniciar sesión con el nombre de usuario en minúsculas, Kerberos devuelve el nombre de usuario en mayúsculas. Como consecuencia, las entradas no coinciden y la autenticación falla.
Utilizando el complemento winbind_krb5_localauth
, los nombres de las cuentas se asignan correctamente. Tenga en cuenta que esto sólo se aplica a la autenticación GSSAPI y no para obtener el ticket inicial de concesión (TGT).
Requisitos previos
- Samba está configurado como miembro de un Directorio Activo.
- Red Hat Enterprise Linux autentifica los intentos de inicio de sesión contra Active Directory.
-
El servicio
winbind
está funcionando.
Procedimiento
Edite el archivo /etc/krb5.conf
y añada la siguiente sección:
[plugins] localauth = { module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so enable_only = winbind }
Recursos adicionales
-
Consulte la página de manual
winbind_krb5_localauth(8)
.